Matts Agélii blir nu tillsammans med Per Westberg, affärsområdesansvarig på Inserve, huvudägare i Inserve Technology.

”Det skall bli väldigt roligt att kliva i rollen som vd för Inserve. Jag har varit med sedan starten och vet att vårt erbjudande idag är starkare än någonsin. Tillsammans med mycket kompetenta kollegor ser jag fram emot att driva Inserve framåt mot nya spännande utmaningar och tillväxt. Idag ser vi stark efterfrågan på våra erbjudanden både inom Identity & Access Management och Datacenter 2.0.”, säger Matts Agélii, vd Inserve Technology.

”Åren med Inserve har varit fantastiskt roliga och inte minst präglats av en stark lagkänsla. När jag nu tar steget över i egen verksamhet vet jag att Inserve är i goda händer. Företaget har alla förutsättningar att behålla och förstärka rollen som en fortsatt ledande aktör med god tillväxt och tjänster i absolut framkant”, säger Inserves avgående vd Peter Gustafsson.

Matts Agélii är Civilingenjör från Chalmers i Göteborg och vidareutbildad vid Handelshögskolan i Stockholm.

För mer information och bildmaterial kontakta:
Matts Agélii, vd Inserve Technology, tel 0709-81 48 83, e-post matts@inserve.se

Inserve Technology grundades 1999 av Peter Gustafsson, Matts Agélii och Per Westberg.
Sedan starten har företaget vuxit organiskt och kommit att arbeta med bolag som Aftonbladet, AstraZeneca, EDB, Gambro, ICA, SKF, Lindex, Volvo och Vägverket liksom universitet och mindre snabbväxande bolag som Spotify och Stardoll. Idag är Inserve en av de ledande Nordiska aktörerna inom Identity & Access Management, ett område där företaget förväntar sig fortsatt stark tillväxt. Inserve har idag runt 25 medarbetare vid kontoren i Göteborg och Stockholm. Företaget samarbetar med ledande leverantörer inom respektive område. Bland dessa finns Oracle, Sun Microsystems, Hitachi Data Systems, IBM Software, Red Hat och Symantec. För mer information besök www.inserve.se

Om dig och dina erfarenheter – Du är eller vill bli specialist inom området identitetshantering och har redan nu några års arbetslivserfarenhet. Idag är du kanske systemadministratör eller systemutvecklare med kunskaper inom Java och du är van att arbeta i större IT-miljöer med många användare.

Hos oss kommer du att utvecklas i konsultrollen som IAM-expert med ”helhetstänk”. Om du tidigare har arbetat mot många olika sorters applikationer, system och servrar så är det bra förutsättningar.

Högskole- eller universitetsutbildning är bra. Tidigare erfarenheter av att ha jobbat med LDAP eller andra katalogtjänster, identitets- eller accesshantering är andra plus. Ett annat plus är om du under perioder kan tänka dig att jobba utomlands.

Marknaden för identitetshantering, eller identity- and access management (IAM), har tagit fart ordentligt. Fler och fler stora och medelföretag upptäcker att det finns lösningar och svar på frågan hur man på det bästa och mest effektiva sättet ska hantera access och användaridentiteter.

Hur skapar man användaridentiteter, hur förändrar man dem och hur tar man bort dem? Samtidigt som man behåller full kontroll över att inga obehöriga användare existerar och att alla har rätt behörighet och tillgång till de system man skall använda i sitt dagliga arbete.

Inom Norden är Inserve ett ledande bolag. Vi är stolta över vår kunskap och erfarenhet. Nu fortsätter vi vårt lagbygge genom att rekrytera fler engagerade konsulter och ytterligare säljare och projektledare.

Ett IAM-uppdrag kännetecknas av att det är unikt och kundanpassat. Vi jobbar långsiktigt mot kund och uppdragens längd varierar från några veckor till flera år. Efter avslutade projektfaser finns vi alltid kvar för långsiktig förvaltning och vidareutveckling.

De produkter vi jobbar med har färdiga adaptrar för de vanligaste målsystemen, men ofta har våra kunder en del mindre vanliga, eller egenutvecklade, system – vilket innebär att vi även nyutvecklar adaptrar för att kunna integrera även dessa system. Den mesta utvecklingen sker i Java. Ett IAM-system går långt in i ett företags verksamhet, vilket ofta gör att ett projekt innebär en stor del interaktion med kunder.

Vad innebär det att arbeta på Inserve? Vi är duktiga, erfarna och proffsiga. Prestigelöshet och driv är två andra egenskaper som utmärker oss. Du erbjuds en internationell utbildning för att lära dig de mjukvaror vi använder, och du får självklart en Inserve-mentor som du både kan och ska fråga om allt du vill!

Kontakta Matts Agélii för en pesonlig kontakt. Börja med att maila ditt CV till matts@inserve.se

Tomas skriver att “ytterst få har kompetensen att genomföra en förstudie” och det är väl samma bedömning som vi gör. Både leverantörer, integratörer och de flesta konsulthus fokuserar alldeles för mycket på IT och för lite på verksamheten. Och så känns det ju extra kul att få erkännande för vårt sätt att arbeta.

FRÅGA: Jag är cio på ett företag med några tusen anställda inom en teknik- och informationsintensiv verksamhet. Nu står vi inför en expansion och med de nya kraven behöver ännu bättre kontroll över vem som gör vad och när. Vilka är dina tips?

SVAR: Den vanligaste och oftast mest ekonomiska metoden att hantera användarkonton och behörigheter samt spårbarhet i komplexa it-miljöer kallas identity och access management, iam.

Den metoden ger dessutom andra fördelar som till exempel automatisk hantering av varje kontos livscykel och loggning och den möter även kraven på governance, risk management och compliance, grc.

Den viktigaste förutsättningen för ett lyckat projekt är att ledningsgruppen är aktivt delaktig och har förståelse för sin roll i iam-projektet.

Alla målsystemägare måste samarbeta och vara engagerade.

Ledningsgruppen måste tydligt kommunicera projektets mål och vad som förväntas av organisationen och dess chefer.

Ett vanligt misstag med iam-projekt är att man inte inser vikten av de affärsmässiga och de tekniska kraven innan man upphandlar produkter och tjänster.

På marknaden finns ett fåtal marknadsledande leverantörer av iam-system. Val av det rätta systemet för just dig är mycket viktigt och beroende av verksamhetens typ och mål.

Ledningsgruppens delaktighet i valet och genomförandet är viktig.

Trots att det råder brist på iam-kompetens finns det få konsultbolag som rent tekniskt kan implementera iam-system.

Ytterst få har kompetensen att genomföra en förstudie, en analys av både de affärsmässiga och de tekniska kraven.

Det är också väldigt få konsultbolag som kan ge stöd med beställarkompetens vid upphandling av rätt system och som kan kravställa upphandlingen av de tekniska konsulter som ska implementera systemet i verksamheten.

Det är också viktigt att i början av ett iam-projekt vara opartisk och leverantörsoberoende och att endast se till kundens verksamhet, mål och nytta.

Vi har sett många exempel på misslyckade iam-projekt där kunden hoppat över den viktiga förstudien och upphandlat system och tekniska konsulter direkt.

Det är ofta mycket kostsamt att hoppa över förstudien, förankringen i verksamheten samt de affärsmässiga och tekniska kraven.

Det är inte heller ovanligt att man köpt fel system till fel verksamhet.

Av erfarenhet brukar vi fokusera mest på förstudien och arbetet fram till upphandling av tekniska konsulter och system.

Charles Kolodgy från IDC konstaterade att som följd av den säkerhetsmedvetenhet som just nu finns och riskerna som osäker IA-hantering ger har inneburit att marknaden för IAM har ökat med 6% under 2008 har varit ungefär plusminus noll under 2009 och kommer att växa igen under 2010.

Charles förklarade att 85% av investeringarna under 2008 har kommit ur lagstiftnings- eller revisionskrav. Han menar att det är viktigt att bygga IAM-lösningar där man inte enbart tittar på hur man kan lösa problemen så att IT-revisorer och lagstiftare inte slår ner på lösningen. Lösningen blir väldigt mycket bättre om man samtidigt kan se till at den stödjer affärsprocessen.

Syftet med varje IAM-lösning måste vara att rätt personer skall ha tillgång till rätt resurser av rätt skäl vid rätt tillfälle. Rätt skäl är något som många glömmer när man bygger lösningen, men det blir viktigt när problem upptäcks. Exemplen är många som när sjukvårdspersonal av nyfikenhet har studerat journaler utan att vara inblandade i vården av den aktuella patienten.

Charles förklarar att de största områdena i IAM just nu i USA är provisioning och Single Sign On (SSO) för externa web-lösningar.

Slutligen menar Charles att i tillägg till de stora områdena idag så kommer SIEM (en käck akronym som handlar om att spåra onormala och oönskade beteendemönster, jämför Jeff Jonas Tid-rum-resandemönster) att bli ett viktigt instrument för att verifiera att det inte finns skäl att tro att en individ som uppger sig ha en viss identitet gör något av fel skäl. Ett enkelt exempel på hur denna typ av problem kan hittas är om man kopplar ihop inpassering med inloggning på en dator. Om du har en starkt inpasseringskontroll så finns det anledning att fundera på hur en person kan logga på det interna datornätet från en plats som fysiskt är innanför inpasseringskontrollen. Med ett SIEM-system som varnar för denna typ av anomalier, så kan man undvika risker.

Breddat utnyttjande av användaridentiteter över hela webben

Luke Shepard talade om hur Facebook verifierar att individer är de som de utger sig för att vara. I företagsvärlden är det ju rimligt vanligt att verifikation sker genom att den som skall identifieras visar upp ett myndighetscertifierat dokument av något slag (Pass, körkort eller liknande). För Facebook med flera används istället initialt en självverifiering, men allt eftersom så verifieras en kontohavares fysiska identitet av dess kontaktnät. Det är ganska svårt att bygga upp ett stort nätverk av vänner när man uppger sig för att vara någon annan än den man är, inte omöjligt men svårt. Det innebär att även Facebooks metod är i sitt sammanhang en tillräckligt säker metod.

Framåt skulle Facebook vilja att man kan ta med sig sitt nätverk även till andra ställen på nätet. Ett exempel på ett sammanhang där detta har skett är herr Obamas presidentvalskampanj. CNN hade en hemsida från vilka filmer relaterade till Obama kunde visas. Det gick att kommentera filmerna på vanligt sätt. Den som var medlem i Facebook kunde dessutom kommentera filmerna enbart tillgängligt för sitt nätverk. Anledning till att det kan vara intressant är för att få en respektfullare och intressantare debatt som följd av att alla är del av samma nätverk.

Idealt sätt skulle Facebook vilja skapa denna typ av relationer också med företag. Då kommer frågan om huruvida deras verifiering av vem som ligger bakom ett konto tillbaka som ett brev på posten.

En diskussion som Inserve förde med Luke efteråt var hur de tänker kring att det mycket väl kan finnas legitima skäl att dela upp sitt nätverk i flera som inte ser varandra, av för individen mycket legitima skäl. Luke konstaterade att diskussionen finns men i väldigt liten skala. Det finns i hans grupp liten förståelse för att det skulle kunna skapa problem med att denna möjlighet inte finns. Han bekräftade också att det är i Europa som denna diskussion röner störst intresse. Han frågade specifikt om vi kände till någon som har skrivit om ämnen som knyter ihop stora sociala nätverk med integritetsdiskussionen. Om någon känner till uppsatser, white papers eller andra texter om detta så uppmuntras ni att skicka information om det till Inserve.

Sammanfattningsvis

Det blev efter en lite trög start en väldigt intressant konferens. Säkerhet som ingång till IAM området är i USA mycket tydligt. Tekniker som diskuteras just nu handlar mycket om att placera ut mer av företagens IT-verksamhet i molnet, men beskriver också då problemen som därmed kan uppstå och den oro som delvis kanske är obefogad kring denna utveckling. Federering eller inte, Software as a Service (SaaS), flerfaktorautentisering var ämnen som alla var heta på denna konferens.

Kul sammanfattning på Mark Dixons blog: “top ten final thoughts about the conference”:

1. Most Stimulating Information. Jeff Jonas’ discussion about using data analytics to discover space-time-travel characteristics of individuals was both challenging and disturbing.
2. Newest Identity Concept. Phil Windley’s proposal to enable contextualized, purpose-based user experiences using the web browser as a point of integration triggers lots of new thoughts about extracting value from the Internet.
3. Most Reinforced Notion. The Identity Management market is maturing. Companies are seeking to learn best practices for getting the most out of their investments.
4. Biggest Question in my Mind. How much validity should we place in Symplified’s claim that “Federation is Dead. Long Live the Federation Fabric?”
5. Most Enjoyable Networking Moments. Meeting folks in person I have only met virtually beforehand. In person wins every time.
6. Most-asked Question. Nearly everyone whom I spoke with asked me something about the Oracle acquisition of Sun. That happened to be the easiest question for me to answer: “Until the deal closes, we are independent companies. We must wait until then for details.”
7. Best Trade Show Giveaway. An LED flashlight from Novell. Incandescent bulb flashlights seem to be quickly joining buggy whips in the dustbins of history (except for special cases).
8. Biggest Pet Peeve. No power strips or WIFI were provided for attendees. This severely limited note taking and real-time blogging.
9. Most Entertaining Event. No, not the parties. It was the Chinese guy who drove my taxi to the airport. He chattered non-stop for the whole trip about technology, Maryland, California, Utah, Idaho, Micron, Sun Microsystems, Oracle, potato chips, microchips, stock trading, traffic and dishonest taxi drivers. What a hoot!
10. Biggest Disappointment. The show seems to get smaller each year – both in the number of attendees and participating vendors. Will it survive?

Trenden från dag 1 håller dock i sig. I år handlar det mycket om säkerhetsorienterad ID-hantering. Behovet av federerade tjänster är uppenbart, och lösningarna för att förenkla detta visades både på utställningsarenan och i sessionerna.

Tjuv och Polis i Las Vegas och (ut)nyttjande av folks rörelsemönster

Jeff Jonas talar om hur man arbetar med säkerhet i Las Vegas. Jeff arbetar med att spåra bedrägligt beteende.

Ett mycket intressant föredrag om hur man kan förstå vem som gör vad och hur man kan verifiera att det är rätt person som utger sig för att ha en viss identitet. Jeff talade om att informationen om var folks mobiltelefoner befinner sig vid olika tider på dygnet genererar möjlighet att sammanställa information om vilka de träffar. Med hjälp av denna information och med hjälp av informationen om var telefonen är vid en viss tidpunkt kan man stödja autentiseringstekniker som verifierar att om det är rimligt att en individ som uppger sig för att ha en identitet, gör detta med rätta.

Tid-rum-resande och mönstermatchning är grunden
I USA sänder mobiltelefoner 600 Miljarder geo-informationsmeddelanden per år. Mobiloperatörerna kan spåra vem du är, vem du träffar, var du är och var du har varit (i USA kan man sälja denna information). Varje individ skapar ett mönster som går att spåra väldigt väl. Information kan användas för att förstå och verifiera identiteter. Det kan till exempel stödja ansiktsigenkänning eftersom med hjälp av mobilen och folks rörelsemönster kan man veta vilka personer som är i rummet och därför räcker det med att jämföra med dem som är i rummet.

Konsekvenserna för privatlivet är oöverblickbart stora. Det är här och det har redan börjat hända.

Jeff bloggar om ämnet på: www.jeffjonas.typepad.com

Context Automation

Det andra och också mycket intressanta föredraget hölls av Philip Windley, CTO på Kynetx. Han talade om att hittills har Internet handlat mycket om platser (hemsidor). Phil la fram en intressant teori om att det skulle vara bättre om man får en metod att söka baserat på syfte istället för plats.

Exemplet som han gav var att om man söker en bok på Amazon.com, så är det inte att vara på Amazon.com som skapar värdet. Om man får reda på att boken också finns på det lokala biblioteket så ökar värdet. Syftet är att hitta boken, var den hittas är underordnat.

För att kunna söka mer baserat på syfte menar Phil att för att uppnå det är det nödvändigt att vända på kommunikationen. Idag menar han att de flesta ser kommunikationsflödet som något som går från organisation till individ. För att syftesorientera informationssökningen måste kommunikation i större utsträckning gå från individen till organisationer. Han menar vidare att om vi hade större nytta av det skulle folk vara beredda att tala om mer om sina syften för organisationer. Exempel på detta är facebook.com och linkedin.com där folk berättar ganska mycket.

Kynetx utvecklar och säljer ett system för att korsvis söka information baserat på syften.

Den privata sfären och dess relation till IDM i den stora världen

Larry Ponemon har studerat hur folk i 19 olika länder ser på informationsanvändning och respekt för den privata sfären. Slutsatsen är att det finns stor skillnad på synen av detta område över världen.

Detta får väldigt stor betydelse för relationen mellan hantering av individinformation och stora publika nätverk.

Trender i workshops

Mycket av tiden i eftermiddagens worshops gick åt till att tala om hur olika aspekter av autentisering. Det handlade om flerfaktorautentisering, såsom att kombinera mer än ett av lösenord, engånglösenord, mjukvarutokens, hårdvarutokens, smarta kort, med biometri eller pinkod. Det handlade också om federering och om webbasserad ferdereringslösningar. Det är tydligt att det inte finns en enda sanning i hur man skall eller kan göra men att det som så ofta beror på omständigheterna.

I slutet av dagen lyssnade vi till budskapet att oavsett vilka tekniker man använder så måste man ha ordning och reda för att kunna sköta om sin verksamhet på ett säkert, tillgängligt och effektivt sätt. Den som inte har ordning och reda utsätter sig för risker som kan vara förödande. Man kan välja att se detta som något som alla vet, men alla vet ju också att alla inte har god ordning och då hjälper det ju inte att alla vet att det är fel. Dessutom så är det ju ofta en överdrift att alla vet, många förstår inte vilka risker de utsätter sig och sin organisation för när de inte följer säkerhetsrutiner eller har bra rutiner för att hantera organisationens identiteter. Det visar sig också, vilket inte heller chockar så många, att organisationer som har en IDM-lösning som har stöd högt upp i organisationen kommer att lyckas bättre med att se till att lösningen tillämpas konsekvent.

Man kan också konstatera att priserna på WiFi access varierar lite beroende på var man är. På Rio hotells konferenscenter i Las Vegas vill man för tre dagar ha US$850, ett pris som gjorde att vi tvekade lite om det inte dög att använda den trådbundna kommunikationen på hotellrummet som för samma period kostade US$30. Ibland känner man att vissa saker fungerar bättre hemma i trygga Sverige.

Trender

Autentisering
Autentisering anses vara en självklar del av IAM. Det spelar ingen roll om du har koll på identiteter om du inte vet vem som använder dem. Ofta är lösenord inte tillräckligt. Det känns som ganska självklart, men det är ju som alltid så att säkerhet är en balans mellan tillgänglighet, kostnad och säkerhet.

Autentisering verkar vara ett ämne som många stater reglerar hårdare just nu. Det kan vara en följd av det stora säkerhetsintresset som just nu finns i USA. Utvecklingen är snabb vilket innebär att lagar i olika delar av världen är ganska olika just nu. Det finns anledning att tro att kraven på autentiseringslösningar på strukturell nivå kommer att vara likartade när denna marknad mognar.

Virtual directory
Det andra stora ämnet för dagen var virtual directory, tekniken för att virtualisera kontoinformation i olika typer av datalager som ett sökbar katalog. Möjligheterna gicks igenom på bredden, höjden och tvären, med visionära beskrivningar av hur magiskt det är. Det oerhörda värdet kändes dock inte självklart för de jordnära svenskarna på mötet.

Följder av att Oracle köper Sun
Diskussionen var nästan substanslöst snack om huruvida SUN Directory kommer att överleva det förestående uppköpet. Det handlar i stor utsträckning om vad man tror kommer att vara den bästa lösningen för kunderna.

Sammanfattninsvis
Dagar med mer substans för att föra IAM framåt på jorden har förekommit.

Sabine McIntosh på Citi (bank) pratade om “Digital Identity As a Business enabler in the Financial Supply Chain”. Mycket intressant kring hur ändrat sättet att arbeta genom eBam (Bank Account Management). Det har tagit tid, men man har ändrat arbetssätt och processer i grunden. Detta förvaltas numera som en del av SWIFT.

Martin Andersen från Henkel har ju varit med länge. Vi använde dem som exempel för flera år sedan (2005 - Rollspel på riktigt) och man har ju vidareutveckat sin arkitektur sedan dess. Martin pratade mycket om hur man driver projekt som handlar både om teknik och processer. Det är två olika saker men hänger ändå ihop på så många nivåer. Nästa steg nu handlade framför allt om GRC (Governance, Risk, Compliance). Så Henkel är nog ett bra exempel på var många av de tyska företagen befinner sig.

Kari-Pekka Lifländer ansvarade för IDM på Nokia. Man har kört Tivoli sedan 2001 för order/approval/provisioning av konton men kör nu en SAP-pilot. Man har cirka 40.000 transaktioner per månad och hade skapat sig en värdemodell för att kunna prioritera rätt projekt. Så klart fanns det andra drivkrafter som snabbare åtkomst för nya användare och compliance, men för att kunna kommunicera värdet till top-management, så hade man nu räknat fram ett värde där man sparade €10 per transaktion (alltså 400.000€/månad). Man hade varit 60 personer som hanterade konton och rättigheter och kunde rationalisera rejält. En bieffekt är att en ny användare får sitt konto på 5 minuter.

Man har drivit RBAC (Rode Based Access Control) som ett projekt nerifrån och upp. det fanns inga alternativ på Nokia. Man arbetar mycket med delegerad- och egen-administration. Hela tiden fokuserar man på det som skapar värde.

Presentation first suggests as the basis for Identity management value model the usage of Identity transactions. Identity transactions is defined as sum of rights requests + sum of amounts of rights delivered. Additionally, each transaction is given a euro sum value which results into tangible value delivered by IDM.

The presentation next discusses the relevant parts of the role based access management model implementation that bring most value as based on the IDM value model. Discussed elements are e.g. different kind of approval flows, inherited membership approvals, privileges inheritance, delegated management of privilege and role structures, traceability of current permissions/permissions under approval or delivery/historical permissions, inheritance of the membership constraints in the role hierarchy, possibility to reconcile memberships with the target systems in case manual provisioning is used.

Sedan var jag också med på ett antal sessioner som handlade om SAP och hur man på bästa sätt integrerade SAP och identitetshantering. Beroende på vad man vill åstadkomma och hur strategierna ser ut så finns det lite olika vägar framåt. Här hade Kuppinger Cole gjort sin hemläxa och hade klara rekommendationer.

Efter tre dagars tufft program, och många bra diskussioner i pauserna, så var man helt slut. Men extremt nyttigt att få koll på var vi står i Europa när det gäller identitetshantering och access-kontroll. Konstigt att det inte var andra svenska systemintegratörer och konsulter på plats!?

Kuppinger Cole är analytiker som ger råd inom GRC (Governance, Risk, Compliance), Identity and Access Management, IT-säkerhet och nu senast Cloud Computing. De har bra koll, även om fokus naturligtvis blir ganska tyskt. Men det behöver inte vara dåligt då det finns många stora organisationer i Tyskland som har kommit långt på området.

Dagens första övning var en för-konferens där Martin Kuppinger spanade på kort och lång sikt (2008-2019). Här är hans 10 trender.

Trend No. 1: GRC as the Business Control Layer for IAM

GRC (Governance, Risk Management, Compliance) is the superstructure for IAM. GRC provides the business controls (e.g. policies, roles,…) to manage identities and authorizations. Thus, the typical provisioning layers will either be expanded to support GRC requirements or become more lightweight, as just sort of an interface layer between the business controls and the systems which are provisioned.

Overall, the maturity of GRC platforms will increase further. That includes the addition of missing features as well as a better support for business policy management and better interfaces to existing provisioning systems for an effective authorization management.

Trend No. 2: Growing Maturity of Identity 2.0 Approaches

Identity 2.0 becomes more mature. Over the course of the last year, attention shifted from the lightweight OpenID to the more sophisticated Information Cards, now supported by the open ICF (Information Card Foundation). We will observe an increasing momentum in that area, even while the discussion about valid business models for the Identity 2.0 world – especially for Identity Providers – still will be intensive this year.

Trend No. 3: Multi-purpose Cards gain Momentum

A quiet evolution has happened in the market for authentication tokens. Multi-purpose cards are increasingly important. These cards support not only the strong authentication for IT systems, but as well the physical access to buildings and sometimes even payment functions or other features. These advanced cards are increasingly considered as the mechanism of choice for strong authentication, reducing the number of tokens employees have to carry and the logistics costs for such cards through their use for several use cases.

Trend No. 4: Context and Versatility become Reality

Context-based authentication and authorization has been discussed for quite some time, as well as versatile authentication (e.g. the flexible choice of authentication technologies within one platform) has been. Both approaches are becoming increasingly mature and are supported by more and more vendors. In that context, soft-tokens are now frequently supported as one approach for authentication, as well to reduce logistics costs as to provide a fail-over in case that a physical token has been lost or destroyed.

Trend No. 5: More IAM and GRC for the Cloud

Cloud Computing will be the next big thing in IT – a fundamental paradigm shift which provides much more flexibility for IT infrastructures than ever before. That requires IAM as well as GRC for the cloud. Currently, there is only little support for basic IAM standards like SAML. The increasing pressure of customers in a growing market will lead to a broader support for existing and upcoming standards like SPML, OAuth, XACML or CARML as well as to the definition of new standards.

Trend No. 6: Portable Identity Information for Social Networks

Today, typical social networks don’t support a flexible exchange of the identity information (including the relationships and all the other data) which is stored in these networks. That will change. There are first approaches for open, exchangeable identity and relationship information for social networks. There is an increasing pressure of users on the providers of social networks. And there is the impact of Identity 2.0 which allows building new types of social networks. Thus, the lock-in of information in social networks will come to an end.

Trend No. 7: GRC going beyond IAM

GRC will not only become sort of a business control layer for IAM – GRC will also expand beyond IAM. Some first vendors have started to add SIEM (Security Incident and Event Management) capabilities to their GRC platforms. And some of the large vendors are in the starting blocks to add ITSM/BSM (IT/Business Service Management) and other features. Over time, we expect GRC to become a more complete business control layer which allows providing business policies and controls to IT and the status information back from IT to business.

Trend No. 8: First Impacts of new Electronic Passports

The new Electronic Passports (ePA) will become part of IT strategies, especially in Germany with the sophisticated approach of an ePA supporting as well features for non-governmental use cases. There will be first solutions supporting the ePA for strong authentication as well as for integrating Identity 2.0 technologies with the ePA.

Trend No. 9: Increasing Service Orientation in IAM and GRC

A service-oriented approach for IAM and GRC will become increasingly important in three areas: Defining and managing IAM and GRC services, building lightweight, service-oriented implementations especially for provisioning, and supporting SOA. Overall, that will be part of a shift from today’s frequently monolithic approaches towards a more flexible concept of IAM and GRC.

Trend No. 10: Privacy is back – and there are more Solutions

Privacy has been a no-brainer for a pretty long time. Despite some regulations, there hasn’t been much discussion about privacy. And, even more, there haven’t been significant technical improvements to support privacy requirements. That is changing. New technologies for supporting privacy, especially the concept of “minimal disclosure” are on their way – and there is by far more discussion about privacy issues than it has been for years.

Just GRC (Governance, Risk Management and Compliance) kan väl sägas vara årets “snackis”. Då de tekniska delarna kring provisionering och access funkar allt bättre så läggs ju mer krut på det som är avgörande för om projekt blir framgångsrika eller inte: verksamhetsprocesser och roller. Och då handlar det mer om vad en organisation faktiskt vill uppnå.

Den andra stora “snackisen” var så klart Cloud Computing. Alla ser att det händer saker både hos leverantörer och hos kunderna, men man är fortfarande lite osäkra på exakt vad det innebär för identitetshantering och access. Men att både behov och krav kommer att öka i en värld där allt fler kunder finns externt, det är alla överens om. Vad som är bra är att många som levererar tjänster i molnet har anammat standarder som SAML, men det kommer fortfarande att bli mycket integration, framförallt om man skulle få för sig att flytta tjänster mellan olika leverantörer i molnet. Spännande!

En naturlig följd av Cloud Computing och SaaS (Software as a Service) är så klart IaaS (Identity as a Service).

Vi ser också tydligt att vissa applikationer driver nya lösningar. En sådan är SharePoint, som har en säkerhetsmodell som skiljer sig radikalt från hur kunderna avser att använda produkten. Det finns lösningar, till exempel Rohati, men det kommer att bli stora problem för de kunder som försöker rulla ut SharePoint utan att ha en vettig struktur för identitet och access.

I det längre perspektivet fanns framförallt spaningar kring modularisering och service-orientering av IDM, “Identity Bus” som koncept där många olika identitetstjänster kan samarbeta. Också Microsofts “Geneva” Claims Based Access Platform fanns på radarn, och Kim Cameron var på plats för fördjupningar.

En intressant paneldebatt handlade om Europa hade en egen approach jämfört med resten av världen när det gäller IAM. Alla verkade överens om att det var USA som skiljde sig från alla andra. I USA hade man haft en tidig rush då alla gjorde provisionering som en snabb fix. I Europa hade det gått lite långsammare och man hade kanske gjort saker lite långsammare. I Europa verkade man också jobba mer med rollhantering…

Sent på eftermiddagen kördes det leverantörspresentationer. Tungt.

Uppfriskande var dock Eve Maler från Sun (också känd som xmlgrrl eftersom hon var med och uppfann XML). Hon berättade om de tokiga projekt hon höll på med just nu, som OAuth (öppet protokoll för auktorisering) och ProtectServe. Cool!

Eve Maler is an Emerging Technologies Director at Sun Microsystems, innovating technologies related to digital identity management and developing strategies for promising new technologies on the scene.

Eve was one of the inventors of the Extensible Markup Language (XML). She has also made major leadership, technical, and educational contributions to other successful open standards and communities, such as Project Concordia, the Security Assertion Markup Language (SAML), the Liberty Alliance, the Universal Business Language (UBL), and DocBook. One of her current projects is ProtectServe.

Eve is a frequent public speaker, and chairs the Web Services and Identity track of the annual XML Summer School held at University of Oxford.

Eve co-authored Developing SGML DTDs: From Text to Model to Markup, a book that provided a unique methodology for information analysis and SGML schema design. Eve’s blog, Pushing String at xmlgrrl.com, touches on topics both technical and whimsical.

Lite tidigt för att att sätta saker och ting i perspektiv, men det känns som att området har mognat avsevärt och att man nu ser på IAM i ett större perspektiv.

I morgon hoppas vi på fler storys från verkligheten.

Konferensen kan också följas live på Twitter med tag #eic.

Att Sun har varit intresserade av att sälja har knappast varit någon hemlighet. Nu senast var det IBM som tydligen hade kommit ganska långt i förhandlingarna innan de avbröts för ett par veckor sedan. Internt på Sun har också Cisco figurerat som en möjlig köpare. Men nu blir det alltså till sist Oracle.

Eftersom vi under alla år jobbat med både Sun och Oracles, så är detta både bra och dåligt för oss. Dåligt för att vi fortsätter att vara beroende av en stor leverantör men bra för att vi är up-to-speed med stora delar av deras erbjudande och är vana vid att jobba tillsammans med dem.

Flera av våra kunder har hört av sig och undrat vad detta innebär, så här är min korta analys.

Infrastruktur

Oracle och Sun har ju lyckats väl när det gäller verksamhetskritisk infrastruktur. Många stora bolag kör Oracles databaser på Sun-system och det fungerar otroligt bra. Historiskt har detta (upplevts) varit en relativt kostsam lösning där många kunder på senare år har velat få ner kostnaderna genom konsolidering och virtualisering. Genom att man nu får tillgång till hela “stacken” från applikation ner till servrar, Solaris och datalagring, så vill man kunna erbjuda lösningar på ett mer effektivt och integrerat sätt.

Vill man så kan man förändra datacentret i grunden.

Eller som IDC uttrycker det:

This deal to some extent redraws the lines of competition in the IT space. For many years, there was a comfortable detente between the creators of value at the Hardware, Operating System, Database, Middleware, and Application levels. While there were occasional border wars and alliances, there was generally peace—or at least clear segmentation between those businesses. Now, in a time of technology convergence, the rules are changing. We have already seen that with recent announcements from Cisco, HP, IBM, Dell, and others. With the stroke of a pen, the combination of Oracle and Sun can deliver chips to applications, and everything in between, but the exact shape of this combined technology offering is yet to be determined. While this structure may not stay in place, as is, it will usher in a different basis for competition, one where customers are offered far more integrated platforms, and service providers deliver all-in-one Internet-enabled services, directly, and via the cloud, and where competition between past partners is far more common.

Det handlar inte bara om att tejpa ihop Suns och Oracles teknologier, utan jag tror vi kommer att få se både “appliances”, integrerad teknologi och cloud computing. Att Oracle skulle leverera alla typer av coola tjänster som cloud känns självklart. Larry Ellison har ju kritiserat många av aktörerna inom cloud computing, men nu har han själv förutsättningarna att leverera något som verkligen gör skillnad.

Jag skulle bli mycket förvånad om inte kunder som kör mycket Oracle kommer att kunna sänka sina kostnader för infrastruktur och drift med 30-50% på tre år. Och då är man i högsta grad relevant hos de flesta stora bolag.

Applikationer

En stor anledning till köpet var Java, och det skall bli mycket intressant att se vad Oracle kommer att göra. Sun har haft svårt att få utväxling på teknologin som, trots att den finns överallt, inte har gett Sun en strategisk position hos kunderna.

Även i övrigt finns många intressanta kombinationer, där Sun har haft en bra portfölj på Open Source-sidan med Glassfish, JCAPS, Solaris och MySQL. Just MySQL är väl det område där det råder osäkerhet. Kommer Oracle att driva migrationen från sin egen databas till MySQL, eller hur väljer man att positionera detta erbjudande.

Identity and Acess Management

För oss på Inserve så är detta naturligtvis ett av de mest intressanta områdena. Både Sun och Oracle har haft IAM som strategiskt satsningsområde och gjort förvärv på området. Här blir det extra spännande att se hur man positionerar de olika produkterna.

Inom identitetshantering har både Sun och Oracle skarpa erbjudande. Sun Identity Manager (via köpet av Waveset) och Role Manager (via köpet av Vauu) mot Oracle Identity Manager (via köpet av Thor Technologies) och Oracle Role Manager (via köpet av Bridgestream). Sun har en öppnare arkitektur och fler referenser i vår del av världen. Oracle har bra fokus på vissa applikationsområden och sitt eget Fusion.

På acess-sidan händer det mycket kring Sun Open SSO där Open Source-approachen har gett ett visst moment. Oracle har ett antal produkter på området: Oracle Access Manager (OAM),Oracle Identity Federation (OIF) and Oracle Web Services Manager (OWSM) och i viss mån Oracle Entitlement Server (OES).

Oracle har kanske haft lite svårt att komma imål med några av sina svenska projekt. Där tror jag att det är bra att man nu får en kritisk massa internt. Men framförallt blir man tydligt #1 bland systemintagratörer och konsulter - och det är ju oftast där som framgången för ett IAM-projekt avgörs.

Så, det blir spännande tider framöver.

Officiellt
Oracles PR
Suns PR

Artiklar/analytiker
eWeek - Product Synergies and Overlaps of a Combined Oracle-Sun
Gigaom - Our Full Analysis of the $7.4B Oracle-Sun Deal
IDC Opinion

NetworkWorld - Oracle-Sun union means tough decisions on ID management

Bloggar
Access Assurance Blog - Defining IAM Vendor Viability
CSO - The Biggest Loser in Oracle-Sun Deal: SAP
Darryl Plummer (Gartner)
DealBook NY Times - In Sun, Oracle Sees a Software Gem
Forrester - How the Oracle/Sun deal makes sense
Oracle’s Acquisition Strategy Continues: Oracle Buys Sun (Oracle)
InformationWeek - Oracle’s Acquisition of Sun Changes Identity Management Landscape
Identigral - The rise of Suncle
Identigral - The rise of Suncle: Access Management
Identigral - The rise of Suncle: Directory Services
Identigral - The rise of Suncle: Solaris, Java, ripple effects
Sun and Oracle - I would have won my bet
The Microsoft subnet blog - Why the Oracle/Sun deal is bad news for Microsoft and SQL Server
Search Security - In Oracle-Sun deal, analysts predict identity management fallout

Gartner, låter inte bara ordet som nånting främmande och kanske lite skrämmande… Som Nasdaq för Björndata AB eller Euro Corp XX för Smålands IT AB. Dessa var mina förutfattade meningar när jag trädde in på Gartner IAM Summit 2009 i London. Glatt överaskad blev jag av att finna att Sveriges närvaro på platsens var stor; Nordic Edge, PortWise och Axiomatics. Omkring en fjärdedel av utställarna numerärt, kanske inte volymmässigt i antal hanterade konton eller hur man nu ska räkna IAM-providers storlek.

Gartner är ju företaget som ska spå i framtiden genom att analysera nutiden och veta trenderna. Jag har ju varit med om “nutiden” i form av hypen inom IDM med att kunna provisionera konton centralt, göra rapporter på konton och rättigheter i olika system mm. Detta är nu gårdagen enligt Gartner. Vi har klarat av Sox mm krav, men vi hann aldrig med att förbättra processen, effektivisera “the life of odeol” (odeol är ett kontonamn). Vi sitter fortfarande och skickar 100-tals ärenden till IT-support angående kontons skapande, ändringar eller avslut. Snarare har ärendena ökat pga regelverk som kräver att konton avslutas eller begränsas efter behov. Vad göra?

Lite lustigt är det att höra att det som var “selling pitches” 2006, automatiseringar och förenklade processer, nu är det som ska ske efter “compliance” under 2009 enligt analytikerna på Gartner. Men de gör det med en viss självironi då det öppnade med ett sitat från Henry Ford: “I see no progress in this industry. These clocks are no faster then the one they made 100 years ago”. Vägen till förenklade processer och automatisering är fortfarande svår och inbegriper rollifiering, klassifisering av åtkomster och liknande för att möjligöra ett betsälla/utföra scenario i hanteringen. Kommer vi att kunna nå dit? Den frågan svarade inte Gartner på, men väl många leverantörer av olika lösningar för ändamålet. Ska man sammanfatta dag 1 av konferensen så tror jag det görs bäst genom denna uppställning:
SOX hypen är över, de som behövde klara dessa krav klarar dem nu.

Automatisering och effektivitetshöjande åtgärder är missat, gör det nu!

Ta hjälp av verktyg och standarder för rollifiering, försök inte uppfinna dem själv.

IDM är en självklar del av affärsprocessen, inte något som läggs till efteråt.

Gartner | dag 2

Om essensen av gårdagen var att “det är dags att automatisera konto- och rättighetshanteringen” så var det naturligt att denna dag skulle ge lite ljus på hur det skulle kunna gå till, -hur har andra gjort?

En stor del av dagen ägnades åt att låta olika företag berätta sina success-stories (det är väl svårt att få någon att berätta om “det totala misslyckandet”, men den som hade vågat det hade nog fått fullt hus), sina lärdomar och om hur de undvek “andras” fallgropar (för de gick ju inte i några själva). Som IDM arkitekt händer det ibland att jag kommer till ett företag som har ett mer eller mindre ordnat kaos vad gäller IAM. De vet knappt vilka konton som används, de vågar inte avsluta konton eftersom de kanske används som applikationskonton, de betalar licenser i onödan och de skruvar på sej besvärat när ordet säkerhet kommer på tapeten.

Flertalet av talarna berättade kända saker som “Det är viktigt att sätta målen, kunna mäta dem, ha ledning, HR- och IT-folk involverade och informerade och sist men inte minst att slutföra projekten och påvisa de uppnådda målen”. Det är ju allmänna sanningar för alla IT-projekt, kanske vikten av företagsledningens medverkan är extra betydelsefull för ett IAM-projekt då det kommer att påverka alla företagets processer och för det krävs det mandat.

Stephan Vinsot från Evidian berättade en intressant och nyttig historia om hur de gjorde när de skulle implementera IAM i ett kaos som ovan beskrivet; deras plan var grovt:

* Definiera de mätbara målen
* Definiera vem som får göra vad, när och från var
* Skapa ett mindre antal roller som täcker flertalet (UK_Sales_Person, Employee, Home_Worker,…)

De började med att införa ett SSO system som gjorde att alla kunde komma åt sina applikationer enklare. Därmed fick IAM-projektet ett positivt bemötande från alla och envar. SSO-systemet fick gå ett par månader och från loggarna kunde de sen se vilka konton som användes, när och varifrån de användes. Den informationen användes för att definiera rollerna som behövdes och rollmedlemmarna kunde hittas på samma sätt. SSO systemet kunde därmed populeras med roller och policies som var tagna ur verkligheten. Det som saknades nu var en möjlighet att provisionera konton (läsa, skapa, ändra och ta bort) med dessa rolldefinitioner, men det finns det ju många IDM lösningar som hanterar. Jag tycker denna historia var intressant eftersom de gjorde lite tvärtom mot vad de flesta andra gör; de började med SSO och roller och avslutade med IDM. Min erfarenhet är att motsatsen är det vanligaste.

Finns det något spännade nytt runt hörnet som Gartner pekar på undrar ni kanske?

Jo, vad är det vi ger access till egentligen i vårt IAM system? En server, en applikation, en disk. Det intressanta är datat i filer och databaser. Idag klassificerar vi det genom att säga att “här är Finance-disken, på den ligger Finance-data och tillgång till den har man om man är ekonom”. Det duger inte, det finns inget som säger att allt på Finance-disken är ekonomirelaterat eller att det inte finns ekonomirelaterade saker på andra ställen (inklusive mail systemet). IAM lösningarna måste bli “content-aware”, klassificeringen att en fil hör till Finance måste ske pga dess innehåll, inte i vilken mapp någon har lagt den i. Det tar nog en tag innan våra IAM system klarar detta, men det är en intressant tankeställare.

Gartner Identity & Access Management Summit 2009